Java - 使用系统 TrustStore 验证证书
Java - verifying certificate with system TrustStore
前提:我有一个证书,我想验证 系统 'trusts' 这个证书(由 Java 的可信根 CA 签名 /操作系统)
我找到了一些不同的解决方案来实现这一目标。
选项 1:
使用 SSL classes 获得信任。
TrustManagerFactory tmfactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmfactory.init((KeyStore) null);
for (TrustManager trustManager : tmfactory.getTrustManagers()) {
if (trustManager instanceof X509TrustManager) {
try {
((X509TrustManager) trustManager).checkClientTrusted(new X509Certificate[] {new JcaX509CertificateConverter().getCertificate(holder)}, "RSA");
System.out.println("This certificate is trusted by a Root CA");
} catch (CertificateException e) {
e.printStackTrace();
}
}
}
由于此方法严重依赖 SSL classes(当前项目不需要),我们正在寻找替代方案。
选项 2:
将 Java 的 cacerts 文件加载到密钥库中,并根据我的证书检查每个 'most-trusted' 证书是否相等。
String filename = System.getProperty("java.home") + "/lib/security/cacerts".replace('/', File.separatorChar);
FileInputStream is = new FileInputStream(filename);
KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
String password = "changeit";
keystore.load(is, password.toCharArray());
// This class retrieves the most-trusted CAs from the keystore
PKIXParameters params = new PKIXParameters(keystore);
// Get the set of trust anchors, which contain the most-trusted CA certificates
Set<X509Certificate> rootCertificates = params.getTrustAnchors().parallelStream().map(TrustAnchor::getTrustedCert).collect(Collectors.toSet());
return rootCertificates.contains(holderX509);
这种方法的问题在于它需要密码来验证 JKS 编码文件的完整性。虽然 SSL 似乎没有(或者更确切地说使用 System.getProperty("javax.net.ssl.trustStorePassword"),它再次与 SSL 密切相关。
问题:是否存在介于从文件手动加载证书和纯 SSL 之间的解决方案?我觉得好像应该有一些 class 我可以调用它来简单地验证证书的系统信任,而不必跳过几个箍。
除了下载第三方库,可能没有其他选择。
为什么要避开 "SSL" 库?它是标准库的一部分,因此不会给您的程序带来任何负担。
无论如何,证书验证是 SSL 的重要组成部分。我怀疑是否有人不厌其烦地创建了这样一个库,却没有实现 SSL 协议的某些重要子集。没有真正的理由这样做。
在阅读了 David Hook 的 Java 密码学入门之后,我制作了以下示例来验证证书链(它实现了使用系统信任库验证根 CA 的最初目标)
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509", new BouncyCastleProvider());
InputStream is = new ByteArrayInputStream(some bytes in an array);
CertPath certPath = certificateFactory.generateCertPath(is, "PKCS7"); // Throws Certificate Exception when a cert path cannot be generated
CertPathValidator certPathValidator = CertPathValidator.getInstance("PKIX", new BouncyCastleProvider());
PKIXParameters parameters = new PKIXParameters(KeyTool.getCacertsKeyStore());
PKIXCertPathValidatorResult validatorResult = (PKIXCertPathValidatorResult) certPathValidator.validate(certPath, parameters); // This will throw a CertPathValidatorException if validation fails
这也实现了不必使用 SSL 类 的目标 - 而是使用 Java 安全性 类 / 算法。
前提:我有一个证书,我想验证 系统 'trusts' 这个证书(由 Java 的可信根 CA 签名 /操作系统)
我找到了一些不同的解决方案来实现这一目标。
选项 1:
使用 SSL classes 获得信任。
TrustManagerFactory tmfactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmfactory.init((KeyStore) null);
for (TrustManager trustManager : tmfactory.getTrustManagers()) {
if (trustManager instanceof X509TrustManager) {
try {
((X509TrustManager) trustManager).checkClientTrusted(new X509Certificate[] {new JcaX509CertificateConverter().getCertificate(holder)}, "RSA");
System.out.println("This certificate is trusted by a Root CA");
} catch (CertificateException e) {
e.printStackTrace();
}
}
}
由于此方法严重依赖 SSL classes(当前项目不需要),我们正在寻找替代方案。
选项 2:
将 Java 的 cacerts 文件加载到密钥库中,并根据我的证书检查每个 'most-trusted' 证书是否相等。
String filename = System.getProperty("java.home") + "/lib/security/cacerts".replace('/', File.separatorChar);
FileInputStream is = new FileInputStream(filename);
KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
String password = "changeit";
keystore.load(is, password.toCharArray());
// This class retrieves the most-trusted CAs from the keystore
PKIXParameters params = new PKIXParameters(keystore);
// Get the set of trust anchors, which contain the most-trusted CA certificates
Set<X509Certificate> rootCertificates = params.getTrustAnchors().parallelStream().map(TrustAnchor::getTrustedCert).collect(Collectors.toSet());
return rootCertificates.contains(holderX509);
这种方法的问题在于它需要密码来验证 JKS 编码文件的完整性。虽然 SSL 似乎没有(或者更确切地说使用 System.getProperty("javax.net.ssl.trustStorePassword"),它再次与 SSL 密切相关。
问题:是否存在介于从文件手动加载证书和纯 SSL 之间的解决方案?我觉得好像应该有一些 class 我可以调用它来简单地验证证书的系统信任,而不必跳过几个箍。
除了下载第三方库,可能没有其他选择。
为什么要避开 "SSL" 库?它是标准库的一部分,因此不会给您的程序带来任何负担。
无论如何,证书验证是 SSL 的重要组成部分。我怀疑是否有人不厌其烦地创建了这样一个库,却没有实现 SSL 协议的某些重要子集。没有真正的理由这样做。
在阅读了 David Hook 的 Java 密码学入门之后,我制作了以下示例来验证证书链(它实现了使用系统信任库验证根 CA 的最初目标)
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509", new BouncyCastleProvider());
InputStream is = new ByteArrayInputStream(some bytes in an array);
CertPath certPath = certificateFactory.generateCertPath(is, "PKCS7"); // Throws Certificate Exception when a cert path cannot be generated
CertPathValidator certPathValidator = CertPathValidator.getInstance("PKIX", new BouncyCastleProvider());
PKIXParameters parameters = new PKIXParameters(KeyTool.getCacertsKeyStore());
PKIXCertPathValidatorResult validatorResult = (PKIXCertPathValidatorResult) certPathValidator.validate(certPath, parameters); // This will throw a CertPathValidatorException if validation fails
这也实现了不必使用 SSL 类 的目标 - 而是使用 Java 安全性 类 / 算法。